Virus du 1er avril

Citation :

Que se passera-t-il le 1er avril ?
Poisson d'avril ou terrible menace ? Selon des éditeurs de sécurité, la troisième version de ce ver, Conficker. C, devrait entrer en action dans la nuit du 31 mars au 1er avril 2009. Encore plus sophistiquée que les deux précédentes (la première ayant été repérée en novembre dernier), elle servirait à mettre en action un botnet (un réseau de PC infectés et utilisés, à l'insu des entreprises et des particuliers, par les pirates).

Le réseau de mon entreprise sera-t-il bloqué demain matin ?
C'est difficile à dire car les motivations des pirates ne sont pas connues. Une chose est sûre : les machines déjà infectées serviront à quelque chose.

Mes ordinateurs sous Linux ou Mac OS sont-ils eux aussi concernés ?
Non. Ce ver ne contamine que les PC et les serveurs fonctionnant sous Windows. Un argument supplémentaire qui pourrait inciter des entreprises à migrer tout ou une partie de leur parc vers Linux.

Comment savoir si les ordinateurs de mon entreprise sont infectés ?
Premier test : essayez de vous connecter aux sites des éditeurs d'antivirus. Si cela échoue c'est que le PC est touché, ce ver bloquant en effet l'accès à ces adresses.
Deuxième test : utilisez un petit programme développé pour repérer Conficker. Le département américain de la sécurité a mis en ligne le 30 mars des liens pour télécharger des outils qui scannent tout le disque dur à la recherche de ce ver. Si une variante est repérée, il faut immédiatement couper l'accès au réseau de cette machine (ou des machines) et procéder à la désinfection. « Il faut noter que Conficker. C ne cherche pas à se propager. Au contraire, il a voulu rester discret. Ne provoquant pas d'incidents dans les réseaux d'entreprises [Conficker. B provoquait par exemple le verrouillage des comptes, NDLR], il est moins visible. On peut donc craindre qu'il n'y ait pas eu ces dernières semaines de recherches systématiques du ver pour assurer sa désinfection », estime Thomas Gayet, directeur adjoint du cabinet de sécurité Cert-Lexsi.

Comment désinfecter mon réseau ?
La première chose à faire est d'appliquer le correctif KB958644 proposé par Microsoft sur l'ensemble du parc de machines. Mais l'application de ce patch nécessite d'avoir auparavant migré vers Windows 2000 SP4, XP SP2 ou Vista. Il faut aussi lancer l'outil de suppression de Microsoft. Mais attention : ce programme ne détecte pas la variante C du ver ! Le cabinet de sécurité français Cert-Lexsi décrit heureusement sur son blog une méthode pour l'éradiquer et des outils de désinfection sont proposés par les éditeurs antivirus comme Doctor Web et Kaspersky.

Pourquoi faut-il nettoyer toutes les clés USB ?
Ce ver se propage notamment par les périphériques. Il est donc recommandé de désactiver les fonctions Autorun et Autoplay qui permettent d'afficher automatiquement le contenu d'une clé ou de lancer une application sans intervention. Pour ne prendre aucun risque, l'idéal est de formater toutes les clés USB utilisées pendant la période d'infection.

Quelles autres mesures dois-je prendre ?
Il faut veiller à ce que Windows Update soit de nouveau opérationnel car ce ver le désactive. Cette infection par ce code sophistiqué doit inciter les entreprises à renforcer leurs mots de passe. Elles doivent utiliser différents signes. Exemple : Ma24€!+37.
Il faut aussi vérifier la configuration des routeurs d'accès à Internet afin d'interdire des connexions entrantes sur le port 445.

Un conseil éviter d'aller sur des sites douteux comme :

Spoiler:

Bonne idée, merci du conseil Cobra!

Merci du conseil, même si les chances d'être infecté ne sont pas énormes...

Y a un gros risque sérieusement?

Oui. Eteins ton ordi.

Et débranche ton congélateur .